Ago0620086 Agosto 200828 Gennaio 20140Commentidi Ermanno Goletto

Installazione di Exchange su dominio Active Directory separato

Pubblicato in Design, Security

Microsoft suggerisce di installare Exchnage in una foresta separata nelle organizzazione complesse per le seguenti ragioni:

  • Sono presenti più unità aziendali che richiedono isolamento di dati e servizi.
  • Sono presenti più unità aziendali con requisiti di schema diversi.
  • È in corso una fusione, un’acquisizione o una dismissione.

Per definire confini precisi tra le unità aziendali occorre creare una foresta di Active Directory separata per ogni unità aziendale. Scegliendo questo tipo di configurazione di Active Directory è consigliabile utilizzare la foresta di risorse di Exchange, a riguardo si veda Come distribure Exchange 2007 in una topologia di foresta di risorse di Exchange.

In questo tipo di configurazione si ha una foresta B che contiene i server Exchange e una foresta A che contiene gli account utente. La foresta B contiene account utente identici che sono disabilitati e gli utenti abilitati all’utilizzo delle cassette postali accedono ad Active Directory utilizzando i propri account nella foresta A.

Per ulteriori informazioni si veda Pianificazione di un’organizzazione di Exchange complessa

Organizzazione di Exchange complessa con foresta di risorse

 

Io molto spesso ho installato Exchange su un dominio separato, per esempio dominio.lan per il dominio aziendale e dominio.it per il dominio di posta. In dominio.lan creo gli account per l’accesso alle risorse aziendali e in dominio.it creo gli account per le cassette. Inoltre non tengo sincronizzate le utenze, ma salvo le credenziali per il dominio.it nel profilo dell’utente, quindi se l’utente dominio.it\mrossi ha la cassetta postale mario.rossi@dominio.it salvo nel profilo utente di dominio.it\mrossi la credeziale per accedere a dominio.it col l’account dominio.it\mario.rossi ( a riguardo si veda Funzionamento di Gestione nomi utente e password archiviati).

Questa separazione mi consente di avere le seguenti possibilità:

  • Credenziale diversa sia come utente che come password per accedere alla posta e ciò può essere utile quando:
    • L’utente accede alla posta da Internet Point in quanto la credenziale che digita non consente di accedere a nessun altra risorsa aziendale che non sia la posta elettronica.
    • L’azienda accede alla posta con dispositivi mobili come ad esempio il backberry, in questi casi per configurare il servizio viene richiesto di introdurre una credenziale (utente e password) per accedere alla cassetta postale che però in questo non è anche la credenziale con cui accede alla rete aziendale.
    • Il cambio di password sulla credenziale aziendale non si riperquote su servizi correlati alla posta elettronica (per esempio servizio Blackberry).
  • Il fatto di avere domini e quindi schemi di Active Directory separati permette di eseguire le migrazioni sui server aziendali in modo separato rispetto a quelli sulla posta elettronica.
  • Avere le credenziali del dominio di posta elettronica consente di fatto anche di reinstallare il server di posta elettronica e di ricreare se necessaro l’Active Directory relativa, semplificando situazioni di Disaster Recovery.

Ovviamente il prezzo da pagare è un carico amministrativo superiore:

  • Quando di crea un utente nuovo occorre creare due credenziali
  • Quando si vuole disabilitare un utente occorre disabilitare due account

In ogni caso se devo essere sincero il legame di Exchange ad Active Directory sebbene dia un certo numeri di vantaggi a livello di omogeneita del’infrastruttura è uno degli aspetti che meno mi piace, avrei preferito un approccio alla SQL Server ovvero configurare in Exchange quali account (e quindi SID) sono autorizzati ad accedere a quali cassette postali e con quali diritti.